Das neue Datenschutzgesetz wird am 01. September 2023, ohne Übergangsfrist, eingeführt. Für Ihr Unternehmen besteht möglicherweise Handlungsbedarf.
Darum gehts
Lesezeit: 7 Min.
Wir weisen darauf hin, dass dieser Beitrag weder vollständig noch absolut "wasserdicht" ist. Konvert macht keine Rechtsberatungen, sondern versucht die Leser dieses Beitrags auf ein wichtiges Thema zu sensibilisieren.
Für die rechtlich korrekten Massnahmen wenden Sie sich an einen Rechtsanwalt Ihres Vertrauens.
Das neue Datenschutzgesetz tritt am 01. September 2023 - ohne Übergangsfrist - in Kraft!
Ganz banal erklärt geht es um Personendaten und um die Bearbeitung dieser.
Jede Information, die mit einer Person verbunden ist oder verbunden werden kann:
Jeder Umgang mit Personendaten fällt unter die Bearbeitung!
… nicht abschliessend …
Die organisatorischen Pflichten, die den Datenschutz absichern und begleiten bestehen aus folgenden Möglichkeiten:
Unter Profiling wird die automatisierte Bearbeitung von Personendaten zur Bewertung persönlicher Aspekte (wirtschaftliche Lage, Vorlieben) verstanden. Sämtliche Profiling-Aktivitäten (z.B. Marketing-Automation, etc.) sind damit in der Datenschutzerklärung und in den Bearbeitungs-Verzeichnissen aufzuführen.
Diese umfasst die datenschutzrechtliche Selbstbeurteilung. Insbesondere ist die Abschätzung verpflichtend bei hohem Risiko für die betroffenen Personen (z.B. bei Verwendung neuer Technologien, umfangreiche Bearbeitung besonders schützenswerter Personendaten, etc.).
Unter dem Begriff Data Breach wird der planwidrige Verlust, ein Diebstahl von Daten, die Zerstörung von Daten oder der unerlaubte Zugriff auf Daten verstanden.
Häufig sind die Fälle marginal und betreffen zum Beispiel versehentlich bekanntgegebene Personaldaten oder unerlaubte interne Zugriffe.
Es ist daher ratsam folgende Schritte zu planen:
Für intern produzierte Fehler
Bei planwidrigem Verlust, Diebstahl oder externem Zugriff
Das Nichteinhalten des neuen Datenschutzgesetzes kann zu empfindlichen Bussen führen. So können private Personen mit bis zu CHF 250'000 und Geschäftsbetriebe mit bis zu CHF 50'000 bestraft werden.
Sofern ein solcher Vorfall an die Öffentlichkeit getragen wird ist von einem nicht zu vernachlässigenden Reputations-Schaden für das Unternehmen auszugehen.
Die Europäische Datenschutzverordnung (DSGVO) ist in Teilen strenger als die Schweizerische Version (DSG). Insbesondere bei den Themen Governance, Inhalt der Datenschutzerklärung und Meldepflichten bestehen Unterschiede.
"Wettbewerbstechnisch" wird ab September 2023 die lasche Handhabung von Newslettern ebenfalls strenger geregelt und es ist in jedem Fall ein "double opt-in" erforderlich.
Die Checkliste kann Ihnen helfen, die richtigen Themen anzugehen: